外部提供先システムがサイバー攻撃被害
情報漏洩の原因は、スターバックスがシフト作成業務などで利用していた外部システムに対する不正アクセスによるもの。業務委託先である外資系IT企業のデータ転送用システムが、2024年12月にハッカー集団からサイバー攻撃を受けていたことが発端となった。その後、委託元企業からスターバックスに対し、影響の可能性を含む連絡が2025年5月に入り、調査が進められていた。
約3万人超に影響、氏名・従業員IDなどが対象
今回の漏洩対象は、スターバックスの直営店舗およびライセンス店舗で勤務する従業員を含む計約31,500人。従業員IDや漢字氏名などの情報が外部流出したとされる。一部のケースでは生年月日や所属店舗番号、職位なども含まれていたが、住所や電話番号、口座情報、マイナンバーといった重要性の高い情報は漏洩していないという。対象となった従業員には、順次個別で通知を行っている。
報告までに数か月、再発防止策を公表
サイバー攻撃が発生したのは昨年12月だったが、スターバックスが報告を受けたのは5月29日。その後、外部事業者から提供されたデータの精査と影響範囲の特定に数か月を要した。今回の公表は9月16日付で、具体的な被害人数と内容が確認できた段階で実施された。
スターバックスは今回の事態を重く受け止め、外部委託先への監査体制強化、再発防止に向けたセキュリティ対策の見直しなどに着手している。また、社内でも情報管理体制の点検と従業員への注意喚起を行っており、外部相談窓口の設置も含めた対応が進められている。
対象となる従業員には、心配や不安が広がっていることから、今後の対応の透明性とスピードが一層求められる状況となっている。
